Black Hat: 予防の限界と、侵害後の検知が重要な理由

Black Hatのような主要なカンファレンスで示されているように、サイバーセキュリティ業界はしばしば統一された見解を示します。ベンダーは一様に、デジタル資産を保護、防御すると主張し、頻繁に人工知能を活用しています。しかし、似たようなメッセージの裏には、真のソリューションを求める組織にとっての重要な課題が浮上します。それは、進化する脅威の状況に真に対応する製品をどう見極めるかです。詳細な調査では、予防が依然として主要なテーマである一方で、現代の企業にとってより差し迫った懸念は、すでに発生した侵害を検知する能力にあることが明らかになっています。

「攻撃者を締め出す」という従来の焦点は間違いなく必要ですが、それは今日の高度な脅威アクターがどのように活動しているかという根本的な変化を見落としています。現代の攻撃者は、破壊的なエクスプロイトや悪意のあるソフトウェアに依存することなく、従来の防御をますます迂回しています。代わりに、Scattered Spider、Volt Typhoon、Mango Sandstormのようなグループは、一見無害な方法でアクセス権を取得し、制御をエスカレートさせます。これらの攻撃者は、盗まれたセッショントークンを利用したり、フェデレーションIDシステムを悪用したりして、正規のネットワーク活動にシームレスに溶け込み、正当なツールや認証情報を武器にします。最初の侵害は、セキュリティツールが阻止するようには設計されていないイベント、つまり有効な認証情報による正常なログインから始まることがよくあります。

一旦侵入されると、これらの侵入者はネイティブのシステムツールを使用して環境内を移動し、信頼できるIDパスを通じて特権を昇格させ、OAuthアプリのような一見無害なアプリケーションを介して永続性を確立し、機密データを静かに外部に持ち出します。重要なことに、彼らの手法には明白なエクスプロイトや悪意のあるバイナリは含まれません。彼らの行動は単に「本来の」ものに見えるだけです。これは、通常、外部からの、または明らかに悪意のある活動をフラグ付けするように構成されている従来のセキュリティ制御にとって、重大な課題を提示します。認証情報が有効であり、アクセスパスが許可されているため、これらのアクションは多くの場合、アラートを生成しません。さらに、重要なログは、攻撃者によってすでに削除または改ざんされていない限り、しばしば不完全な物語しか提供しません。既存の防御のほとんどは、異常なものや明らかに敵対的なものを特定するように設計されており、合法であるが悪用されているものを特定するようには設計されていません。数多くの実際のインシデントにおいて、堅牢な予防ツールが導入されていたにもかかわらず、それらは実質的に間違った指標を監視していました。今日の攻撃は目立って際立つことはなく、綿密に溶け込みます。

この進化する脅威の状況は、「侵害を前提とする」という原則に集約されるセキュリティ戦略の根本的な再調整を必要とします。これは単なる考え方の変化ではありません。すべてのソリューションが攻撃を防ぐと主張する際に、サイバーセキュリティベンダーを評価するための実用的なフィルターとして機能すべきです。組織は、利用可能なすべてのサイバーセキュリティ製品の専門家になる必要はありません。代わりに、攻撃者の行動を理解することに焦点を当て、そのような活動を検知し対応するベンダーの能力を厳しく問い詰めるべきです。

ベンダーへの重要な質問は、初期アクセス後の能力を探るべきです。攻撃者が足がかりを得た後の活動をソリューションはどのように検知しますか？攻撃者が有効な認証情報を使用している場合、横方向の動きを特定するためのメカニズムは何ですか？クラウドアプリケーション内のユーザーのセッショントークンがハイジャックされたシナリオを製品はどのように処理しますか？ソリューションは、クラウド環境、IDシステム、ネットワークインフラストラクチャなど、さまざまなレイヤーにわたって疑わしい行動を包括的に検知できますか、それともその可視性は単一のドメインに限定されますか？さらに、重要なログが侵害されたり削除されたりした場合、ベンダーはどのような検知および対応能力を提供しますか？ベンダーの回答が主にアラートノイズの増加を約束したり、予防とログ分析に完全に依存したりする場合、それは侵害がすでに発生した際に支援するために必要なツールを持っていない可能性を示唆しています。

侵害が避けられずに発生した場合、決定的な要因となるのは可視性です。それは単なる生システムテレメトリへの可視性ではなく、異なる環境間でシームレスに相関する攻撃者の行動の微妙なパターンへの可視性です。効果的なソリューションは、バイパスされたり操作されたりする可能性のあるエージェントやログだけに頼ることなく、悪意のある活動を検知する能力を示す必要があります。偵察、認証情報の悪用、永続化などの主要な攻撃者行動を特定し、そして何よりも、これらの行動をIDシステム、ネットワークトラフィック、クラウド環境全体で関連付けて、包括的な全体像を構築する必要があります。このようなプラットフォームは、アラート疲労を悪化させるのではなく軽減する、実用的なトリアージも提供し、最終的には孤立したイベントだけでなく、完全な攻撃経路を明らかにすべきです。これらは表面上だけでは示せない能力です。その有効性は、製品がインシデントをどのように説明し、文脈化するか、単にデータを提供するシステムと攻撃者の意図を見抜くシステムとを明確に区別する能力に現れます。

多くのベンダーが絶対的な侵害予防の約束を売り続けていますが、現実として、現代の攻撃者はもはや「侵入しよう」としているのではなく、「ログインしている」のです。彼らは信頼を悪用し、本質的にすでに内部にいます。サイバーセキュリティの購入者にとっての重要な問題は、攻撃者を境界で阻止できるかどうかではなく、彼らがアクセス権を得た後、その行動を検知し理解できるかどうかです。このパラダイムシフトは、侵害の微妙な信号を認識し対応する、堅牢な行動ベースの検知に新たな焦点を当てることを要求します。